Corso di Laurea in Ingegneria Aerospaziale METODI PER LA QUANTIFICAZIONE DEL RISCHIO: Docente: Page 1
Definizione di Safety Integrity Level (SIL) I SIL sono delle espressioni dei livelli di sicurezza di un dato processo. In particolare offrono una possibile visone della misura ed aspettative di funzionamento attese da parte di sistemi chiamati ad operare in condizioni di non-conformità od emergenza operativa. Risk Based Safety Analysis (RBSA) Page 2
Risk Based Safety Analysis (RBSA) 1. Con desiderato livello di sicurezza come punto di partenza, a. un livello massimo di rischio accettabile è stabilito b. specificando la quantità di fallimenti che possono essere tollerati. 2. Il processo può quindi essere sezionato nei suoi componenti funzionali, a. ciascuno dei quali è valutato per la gestione del rischio. 3. Mediante la combinazione di questi livelli di rischio, un confronto del rischio globale può essere fatto con il livello rischio accettabile prestabilito. a. Quando il rischio effettivo supera il massimo valore accettabile, un ottimizzazione del sistema o processo si rende necessaria. Page 3
1. I processi possono essere ottimizzati in funzione del rischio, scegliendo dei componenti previsti per l'uso entro un certo valore di SIL. a. Ad esempio, se il valore di SIL per il processo in esame è atteso molto alto (cioè alto valore del livello di integrità dei sistemi di sicurezza coinvolti), tramite la scelta di certi componenti di alta qualità ed affidabilità, questo obiettivo può essere raggiunto. b. E' importante notare tuttavia che unire in un processo semplicemente componenti di certi livelli di qualità non garantisce che il processo assuma necessariamente il valore di SIL atteso. 2. Il valore di SIL del processo deve essere determinato attraverso un apposito metodo di indagine sul rischio. Page 4
Metodi per la valutazione dei SIL 1. Analisi semplificate, 2. Analisi per mezzo di Grafi di Rischio ( Risk Graphs ), 3. Analisi mediante Alberi di Guasto, 4. Metodi semi-quantitativi e matrici di rischio, 5. Analisi di Markov, ecc. La norma IEC 61508 definisce quattro livelli di Safety Integrity Level (da SIL1 a SIL4), a ciascuno dei quali è associata una misura quantitativa crescente della necessaria riduzione del rischio e quindi il grado di integrità che il sistema di sicurezza deve raggiungere per poter garantire tale riduzione. È di carattere generale, applicabile a tutti i sistemi correlati alla sicurezza, indipendentemente dall applicazione (trasporti, produzione, ). Page 5
SIL e Affidabilità All Affidabilità di un sistema contribuiscono due tipoi di considerazioni: 1. disponibilità di un componente ("availability") a. MTBF, MTTR e PFD. 2. considerazioni relative all architettura del sistema in esame a. Two out-of two, 2oo3, o Triple Modular Redunndant, TMR 3. misura statistica del componente di fallire in un modo sicuro SIL Page 6
Page 7
Valutazione dei SIL Analisi semplificate, Analisi per mezzo di Grafi di Rischio ( Risk Graphs ), Analisi mediante Alberi di Guasto, Metodi semi-quantitativi e matrici di rischio, Analisi di Markov, ecc. a. In generale, più la tecnica è sofisticata e più è raffinato il calcolo del SIL. b. Pertanto, più la tecnica è semplifica e più conservativo deve essere in valore di SIL derivato. c. Ad esempio, la tecnica dei Grafi di Rischio è più conservatrice e meno complessa dell Analisi Markov. Viceversa, l approccio di Analisi Markov è più esatto e molto più complesso. d. Gli Alberi di Guasto cadono nel mezzo. Page 8
Analisi semplificate, Nel caso di calcoli semplificati, il passo successivo è la somma dei PFD per ogni componente del processo. Il valore ottenuto può quindi essere paragonato con i dati di Tabella SIL vs. Failure on Demand e/o SIL vs failure per unità di tempo, per avere il SIL globale del processo. Analisi mediante Alberi di Guasto il prossimo passo produrre un FT. I componenti sono collegati tra di loro nell albero di guasto attraverso la logica booleana. Una volta che questo è fatto, il PFD per ogni percorso dell albero è determinato in base alla logica delle relazioni. I vari PFD sono combinati tra loro per produrre il PFD ave ecc. Analisi di Markov un diagramma stato è prodotto per il processo... Metodo analitico per arrivare al valore di PFD ave ecc. Page 9
Grafi di Rischio I Grafi di rischio sono un metodo proposto nella IEC 61508 (parte 5). Il metodo valuta qualitativamente, attraverso 4 parametri di rischio rappresentati graficamente, il rischio derivante in assenza o nonoperatività di una particolare funzione e determina il SIL relativo. Page 10
Severità delle Conseguenze (S) 1. Danni o ferite minori ( minor injury ) 2. Uno o più lesioni gravi e irreversibili, o di una fatalità 3. Diversi morti 4. Effetti catastrofici, molti morti (livello non utilizzato nel settore dei trasporti, di norma solo per il nucleare). Esposizione a pericolo (A) 1. Rara o infrequente esposizione a pericolo 2. Frequente o costante esposizione a pericolo Difese contro le conseguenze (G) 1. Possibile 2. Appena possibile Probabilità di verificarsi situazioni di pericolo (W) 1. Molto basso (due ostacoli/barriere) 2. Basso (un ostacolo/barriera) 3. Relativamente alto (senza ulteriore barriera) Page 11
Questi quattro parametri combinati compongono il rischio dal guasto di una particolare funzione di protezione/sicurezza: Rischio = Frequenza di eventi Gravità = W A S G S: Severità Le categorie di severità in questo tipo di grafi di rischio sono enumerate da uno a quattro, ma questi livelli non corrispondono, con quelli delle matrici di rischio di altre norme. I livelli dei grafi di rischio citati nella IEC-61508 contengono anche la classe di gravità S4, che normalmente afferisce alle grandi catastrofi tipicamente eventi di fusione del nocciolo nucleare. Quindi, si può ritenere che nel dominio aeronautico, S2 e S3 corrispondono a livelli "Critico" e "Catastrofico" della matrice di rischio. Page 12
A: Esposizione L'esposizione di un passeggero ad un certo pericolo è solo divisa in due classi. L analisi di un fattore di pericolo inizia con il chiedersi se i passeggeri sono più o meno direttamente esposti, che è per lo più il caso quando si va ad alti livelli di pericolo. Solo alcuni processi (ad esempio, un processo di manutenzione straordinaria ad un motore in avaria, effettuata in pista con passeggeri a bordo) non incidono direttamente passeggeri. Esposizione a pericolo (A) A1: Rara o infrequente esposizione a pericolo A2: Frequente o costante esposizione a pericolo Page 13
G: Difese e protezioni dalle conseguenze Questo parametro dà una misura dei fattori di riduzione delle conseguenze associate al verificarsi di una catena di eventi di pericolo. In tale senso, rappresenta una misura delle barriere esterne esistenti e presenti nel sistema per limitare o contenere i danni (ultimo stadio di sicurezza sistemica), derivanti da diversi tipi di possibili catene incidentali. Questo tipo di parametro misura la riduzione possibile delle conseguenze e non la riduzione della probabilità di occorrenza. La riduzione dei danni può essere per esempio la riduzione della velocità quando un veicolo è in corso di collisione con un ostacolo. Difese (G) G1: Possibile G2: Appena Possibile Page 14
W: Probabilità di verificarsi dei pericoli Questo parametro misura la presenza di ostacoli o barriere che limitano la probabilità di occorrenza di un evento di pericolo nel quadro di evoluzione di una dinamica incidentale. Pertanto, questo parametro dà una valutazione delle barriere interne alla catena incidentale. 1. Viene assegnato un valore W3 al parametro ogni volta che si verifica un pericolo che non può essere controllato anche da un altro ostacolo/barriera supplementare (oltre alla funzione di tutela che è oggetto di analisi). 2. Se invece un altro ostacolo o barriera può prevenire l evolvere del pericolo in un incidente, la probabilità W2 può essere assunta. 3. Se esistono due o ulteriori barriere tali da limitare l'incidente, il parametro W1 può essere utilizzato Page 15
Esempio di Grafo di Rischio Funzione: Rilevamento di Sovra-velocità Descrizione sintetica della Funzione: La velocità è rilevata a bordo dai sottosistemi basati sui sensori S1 ed S2 e dal Tachimetro. Se la velocità rilevata supera i limiti di velocità, la funzione rileva tale sovra-velocità ed avvia il processo di reazione. Modi di funzionamento: Obbligatorio: Attività sensore S1 in Fail safe : se S1 è guasto il segnale di allarme o sovra-velocità è attivato. Opzionale: Attività sensore S2 in Fail safe e rilevatore automatico max velocità sul Tachimetro; Possibile guasto: Supervelocità non rilevata porta a velocità troppo elevata rispetto al valore accettabile in curva Pericoli associati: In caso di mancato rilevamento di velocità eccessiva, i veicoli possono avvicinarsi troppo ovvero si potrebbe operare in condizioni di velocità eccessive per il tratto di strada in oggetto Page 16
Possibili conseguenze / Incidenti / Severità: La mancanza di rilevamento velocità troppo elevata può portare a delle collisioni o uscite di strada/deragliamenti con possibili morti e distruzione dei veicoli => S3 Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => A2. Possibili barriere di sicurezza: In caso di sovra-velocità inosservata, nessun ulteriore barriera (driver ecc) può conservativamente essere assunta per ridurre le conseguenze => W3 Possibile riduzione conseguenza: Non applicabile Pertanto il Grafo di Rischio associato a tali considerazioni risulta in un valore di integrità della funzione di sicurezza Rilevamento di Sovravelocità pari a : SIL = 4 Page 17
Esempio di Grafo di Rischio Page 18
Metodo semi-quantitativo e matrice di rischio POLITECNICO DI MILANO Il metodo utilizza come base la matrice di rischio che comprende solo due misure di rischio: frequenza di incontro del pericolo e gravità delle conseguenze Rischio = Frequenza (del pericolo) Severità (delle conseguenze). Severità SL Frequenza Catastrofico SL=4 Critico SL=3 Marginale SL=2 Trascurabile SL=1 Frequente Inaccettabile Accettabile Probabile Inaccettabile dopo revisione Occasionale Remoto Improbabile Indesiderabile Accettabile dopo revisione Accettabile senza revisione Page 19
Categoria di Severità SLα => SILα = THRα dove SLα identifica la severità assoluta associata al pericolo in esame (SL4 = Catastrofico, SL3 = Critico, SL2 = Marginale, SL1 = Trascurabile), cioè senza nessuna riduzione o aumento dovuto ad altre forme di correzioni ambientali o, sociali e specifiche. Probabilità di Esposizione a pericolo (E) Riduzione della Probabilità di incidente (P) Riduzione delle conseguenze Probabilità (C) (~ A nei grafi di rischio) (~ W nei grafi di rischio) (~ G nei grafi di rischio) Page 20
E = 1 E = 10-1 E = 10-2 L esposizione dei membri del gruppo a rischio è conservativa, ed è assunto frequente o permanente. L esposizione dei membri del gruppo a rischio si può conservativamente presumere come rara, e solo in casi eccezionali (ad esempio i passeggeri in piedi durante fasi iniziali/finali del volo ecc) L esposizione dei membri di un gruppo a rischio è presente solo in rarissima casi (ad esempio, i passeggeri in un aero in hangar, ecc) POLITECNICO DI MILANO P = 1 P = 10-1 P = 10-2 Non si può contare su nessun ulteriore ostacolo per ridurre la probabilità del pericolo nell evoluzione di un incidente. Esistenza di un mezzo o circostanza che chiaramente tendono a ridurre la probabilità che un certo pericolo si evolva in un incidente (ad esempio, il personale di bordo / capace di intervenire in caso di mancato uso di sistemi o presenza di pericoli, quali giaccio sulle ali) Esistono almeno due mezzi o circostanze, per ridurre chiaramente e autonomamente la probabilità che un certo pericolo si evolva in un incidente (ad esempio, una presenza di personale di bordo specificatamente adibito al compito di sorveglianza dell apertura/chiusura delle porte e un sistema di sensori capaci di valutare lo stato di apertura o meno del portellone). C = 1 C = 10-1 C = 10-2 Non vi è motivo di supporre conservativamente che si possa limitare o evitare che membri del gruppo a rischio (ad esempio passeggeri) siano soggetti alle conseguenze di un certo pericolo. Esiste una barriera o misura di protezione per supporre conservativamente che questa possa limitare le conseguenze sui membri del gruppo a rischio (ad esempio passeggeri), limitando, di fatto, il rischio dell occorrenza. Esistono almeno due barriere o misure di sicurezza indipendenti capaci conservativamente di contenere le conseguenze di una certa occorrenza, di fatto riducendone il rischio. Page 21
Categoria di Severità SLe => THRe = THRα /E P C = SILe Supervelocità non rilevata porta a velocità troppo elevata rispetto al valore accettabile in curva Page 22
Caso studio: Foreign Object Damage, FOD Funzione: Rilevamento di oggetto imprevisto in pista di rullaggio Descrizione sintetica della Funzione: Il FOD è rilevata a bordo dai piloti. E altrettanto possibile che vi sia una rilevazione del personal aeroportuale. Modi di funzionamento: Obbligatorio: Controllo visivo da parte dei piloti della pista per presenza di eventuali FOD Opzionale: Supervisione del personale di terra addetto alla manutenzione generale. Possibile guasto: FOD non rilevato. Pericoli associati: In caso di mancato rilevamento e di oggetti di dimensioni di rilievo sono possibili danni molto seri e pericolo di perdita di aeronavigabilità. Page 23
POLITECNICO DI MILANO Possibili conseguenze / Incidenti: La mancanza di rilevamento del FOD e i danni sull aeromobile potrebbero causare un incidente con molte morti tra i passeggeri ed equipaggio => o Grafo di Rischio: Severità delle Conseguenze: S3 o Metodo semi-quantitativo: Livello di Severità SL α = 4 Esposizione: I passeggeri a bordo e possibili esseri umani al di fuori dei veicoli esposti perennemente a tale pericolo => o o Grafo di Rischio: Frequente o costante esposizione a pericolo: A2 Metodo semi-quantitativo: Esposizione dei membri del gruppo a rischio è assunto frequente o permanente: E = 1 Possibili barriere di sicurezza: In caso di FOD di una certa rilevanza, è probabile che questi vengano identificati dal personale di terra e pertanto esiste una barriera aggiuntiva. Si può conservativamente assumere => o o Grafo di Rischio: Probabilità bassa di verificarsi situazioni di pericolo: W2 Metodo semi-quantitativo: Esistono circostanze che chiaramente tendono a ridurre la probabilità che il pericolo di grande FOD non rilevato evolva in un incidente: P = 10-1 Possibile riduzione conseguenza: I passeggeri non possono evitare le conseguenze => C = 1 Page 24
SIL Grafo di Rischio Foreign Object Det ection S Damage/Severity S3 A Typical Exposition to A2 Hazard G Risk Reduction Potential W Probability of Accident W2 Safety Integrity Level (SIL) SIL 3 S 1 S 2 S 3 A 1 A 2 A 1 G 1 G 2 G 1 G 2 W 3 W 2 W 1 SIL 0 SIL 1 SIL 2 SIL 3 SIL 0 SIL 1 SIL 2 SIL 3 SIL 0 SIL 1 SIL 2 S 4 A 2 SIL 4 SIL 4 SIL 3 SIL Metodo semi quantitativo Foreign Object Detection SL Damage/Severity SL4 E Exposition Probability 1 P Accident Probability 0,1 C Consequence Reduction 1 THR4/0,1 THR3 Safety Integrity Level (SIL) - Tolerable Hazard Rate SIL THR per ora e per funzione THR4: 10 < THR < 10 SIL4 THR3: 10-8 < THR < 10-7 SIL3 THR2: 10-7 < THR < 10-6 SIL2 THR1: 10-6 < THR < 10-5 SIL1 Page 25
Grazie per la Vostra attenzione Page 26